Mitte Juli meldeten die Forschungsteams des entrada-Herstellerpartners ISS Internet Security Systems zwei kritische Sicherheitslücken im Call-Manager von Cisco. entrada nimmt dies zum Anlass, mit einer VoIP-Security-Offensive in das zweite Halbjahr 2005 zu starten. "Das Interesse an der Internettelefonie ist groß. Aber ohne starke Sicherheitsmechanismen sind die Projekte zum Scheitern verurteilt", warnt entrada-Geschäftsführer Ingolf Hahn. "Unternehmen müssen akzeptieren, dass Internettelefonie nur hinter einer für VoIP entwickelten Firewall sinnvoll ist. Ob diese von Lucent, Juniper oder Borderware stammt, ist sekundär. Was zählt, ist dass die in den Unternehmen vorhandenen Systeme nur selten für VoIP geeignet sind."
Die von ISS dokumentierten Angriffspunkte liegen in der Zentralsteuerung der Call-Manager-Software von Cisco. Über Manipulation des Call-Managers, der die VoIP-Anrufe in der Cisco-Software steuert, können Hacker die Kontrolle übernehmen: Das Abschalten des Systems ist ebenso möglich wie die Umleitung von Anrufen. Außerdem könne sich der Eindringling auf diesem Weg auch Zugriff auf andere Computer im Netz verschaffen, auf denen Cisco-VoIP genutzt wird, berichtet ISS. Mehr hierzu im Internet unter http://www.iss.net/....
"Wenn mit dem Call-Manager ausgerechnet die meistgenutzte VoIP-Technologie solche Lücken aufweist, müssen die Systemhäuser aufhorchen. Sie dürfen ihre Kunden nicht sehenden Auges ins offene Messer laufen lassen", erklärt entrada-Geschäftsführer Ingolf Hahn. Dabei sei die Sicherung eines VoIP-Netzwerks längst kein Hexenwerk mehr. "Viele Hersteller bieten heute Firewalls, die für den Einsatz in VoIP-Netzen konzipiert sind. Wenn sich der Techniker bei der Konfiguration des konvergenten Netzes an einige gängige Best-Practice-Verfahren hält, sollte eigentlich nichts mehr schief gehen."
entrada vermarktet für den Bereich VoIP-Security drei Firewalls: die Brick von Lucent Technologies, die SIPassure von BorderWare und die VoIP-Firewall von Juniper NetScreen. "Mit jedem dieser Systeme lassen sich die von ISS aufgezeigten Sicherheitslücken zuverlässig verschließen", berichtet Carsten Poppe, Leiter der Technik bei entrada. Wie so eine sichere VoIP-Installation aussieht, erläutert er am Beispiel der Brick von Lucent Technologies:
- Erster Schritt bei der Konfiguration des Datennetzes ist die VLAN-Segmentierung. entrada empfiehlt, die VoIP-Endgeräte, die Datenendgeräte, den Call Manager und die Media-Gateways in separaten VLANs zu installieren. So kann sichergestellt werden, dass zwischen den VLANs nur der erwünschte Datenverkehr passieren kann. Die Brick ist die einzige Firewall, an der dieses selbst im Bridging-Modus einwandfrei klappt.
- Über das DHCP-Relay-Feature der Brick wird sichergestellt, dass die VoIP-Endgeräte einen eigenen DHCP-Server nutzen können. Wenn eigene Hostgruppen für die VoIP-Teilnehmer eingerichtet sind, kann der Betreiber detailliert festlegen, wer wann wie kommunizieren darf.
- Die VoIP-fähige Firewall muss für VoIP-Gespräche dynamische Ports öffnen und auf Protokollebene filtern. Eine Brick kann so konfiguriert werden, dass sie für H.323 und SIP dynamische Sprachkanäle aufmacht und die UDP-Pakete in Echtzeit passieren lässt. Diese "Dynamic Pinholes" lassen sich ebenso für proprietäre Protokolle definieren, beispielsweise für das Skinny-Protokoll von Cisco.
- Abschließend werden Grenzwerte für die Maximalanzahl von Sessions pro Sekunde und von simultanen Sessions eingerichtet. Dies blockiert zuverlässig die meisten Hacker-Attacken, etwa Denial-of-Service-Angriffe. Da die Brick im Stealth-Mode agiert, ist sie von außen praktisch nicht zu identifizieren.
Das Fazit von Carsten Poppe ist eindeutig: "So gut das X-Force-Team von ISS auch ist - an dieser Installation hätten sie sich definitiv die Zähne ausgebissen."
Die von ISS dokumentierten Angriffspunkte liegen in der Zentralsteuerung der Call-Manager-Software von Cisco. Über Manipulation des Call-Managers, der die VoIP-Anrufe in der Cisco-Software steuert, können Hacker die Kontrolle übernehmen: Das Abschalten des Systems ist ebenso möglich wie die Umleitung von Anrufen. Außerdem könne sich der Eindringling auf diesem Weg auch Zugriff auf andere Computer im Netz verschaffen, auf denen Cisco-VoIP genutzt wird, berichtet ISS. Mehr hierzu im Internet unter http://www.iss.net/....
"Wenn mit dem Call-Manager ausgerechnet die meistgenutzte VoIP-Technologie solche Lücken aufweist, müssen die Systemhäuser aufhorchen. Sie dürfen ihre Kunden nicht sehenden Auges ins offene Messer laufen lassen", erklärt entrada-Geschäftsführer Ingolf Hahn. Dabei sei die Sicherung eines VoIP-Netzwerks längst kein Hexenwerk mehr. "Viele Hersteller bieten heute Firewalls, die für den Einsatz in VoIP-Netzen konzipiert sind. Wenn sich der Techniker bei der Konfiguration des konvergenten Netzes an einige gängige Best-Practice-Verfahren hält, sollte eigentlich nichts mehr schief gehen."
entrada vermarktet für den Bereich VoIP-Security drei Firewalls: die Brick von Lucent Technologies, die SIPassure von BorderWare und die VoIP-Firewall von Juniper NetScreen. "Mit jedem dieser Systeme lassen sich die von ISS aufgezeigten Sicherheitslücken zuverlässig verschließen", berichtet Carsten Poppe, Leiter der Technik bei entrada. Wie so eine sichere VoIP-Installation aussieht, erläutert er am Beispiel der Brick von Lucent Technologies:
- Erster Schritt bei der Konfiguration des Datennetzes ist die VLAN-Segmentierung. entrada empfiehlt, die VoIP-Endgeräte, die Datenendgeräte, den Call Manager und die Media-Gateways in separaten VLANs zu installieren. So kann sichergestellt werden, dass zwischen den VLANs nur der erwünschte Datenverkehr passieren kann. Die Brick ist die einzige Firewall, an der dieses selbst im Bridging-Modus einwandfrei klappt.
- Über das DHCP-Relay-Feature der Brick wird sichergestellt, dass die VoIP-Endgeräte einen eigenen DHCP-Server nutzen können. Wenn eigene Hostgruppen für die VoIP-Teilnehmer eingerichtet sind, kann der Betreiber detailliert festlegen, wer wann wie kommunizieren darf.
- Die VoIP-fähige Firewall muss für VoIP-Gespräche dynamische Ports öffnen und auf Protokollebene filtern. Eine Brick kann so konfiguriert werden, dass sie für H.323 und SIP dynamische Sprachkanäle aufmacht und die UDP-Pakete in Echtzeit passieren lässt. Diese "Dynamic Pinholes" lassen sich ebenso für proprietäre Protokolle definieren, beispielsweise für das Skinny-Protokoll von Cisco.
- Abschließend werden Grenzwerte für die Maximalanzahl von Sessions pro Sekunde und von simultanen Sessions eingerichtet. Dies blockiert zuverlässig die meisten Hacker-Attacken, etwa Denial-of-Service-Angriffe. Da die Brick im Stealth-Mode agiert, ist sie von außen praktisch nicht zu identifizieren.
Das Fazit von Carsten Poppe ist eindeutig: "So gut das X-Force-Team von ISS auch ist - an dieser Installation hätten sie sich definitiv die Zähne ausgebissen."
